Помогите, вирус выкинул Аваст из автозапуска, увеличился трафик.
Произвел тестирование по вашим правилам, отправляю логи.
Заражен ovrscn.dll и др.
Помогите, вирус выкинул Аваст из автозапуска, увеличился трафик.
Произвел тестирование по вашим правилам, отправляю логи.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('H:\WINDOWS\Temp\xhcodec5140.exe',''); QuarantineFile('H:\WINDOWS\system32\qz.sys',''); QuarantineFile('H:\WINDOWS\system32\qz.dll',''); QuarantineFile('H:\WINDOWS\update.exe',''); QuarantineFile('H:\WINDOWS\mmhren1.exe',''); QuarantineFile('H:\WINDOWS\ShowWnd.exe',''); QuarantineFile('H:\WINDOWS\system32\drivers\grande48.sys',''); QuarantineFile('H:\WINDOWS\system32\ovwscn.sys',''); QuarantineFile('H:\WINDOWS\system32\ovrscn.sys',''); QuarantineFile('H:\WINDOWS\system32\ovrscn.dll',''); QuarantineFile('H:\WINDOWS\system32\crypts.dll',''); DeleteFile('H:\WINDOWS\system32\ovrscn.dll'); DeleteFile('H:\WINDOWS\system32\ovrscn.sys'); DeleteFile('H:\WINDOWS\system32\ovwscn.sys'); DeleteFile('H:\WINDOWS\system32\drivers\grande48.sys'); DeleteFile('H:\WINDOWS\mmhren1.exe'); DeleteFile('H:\WINDOWS\update.exe'); DeleteFile('H:\Documents and Settings\Serg\Local Settings\Temp\Temporary Internet Files\Content.IE5\4BDT52LC\xhcodec5140[1].exe'); DeleteFile('H:\Documents and Settings\Serg\Local Settings\Temp\xhcodec5140.exe'); DeleteFile('H:\Documents and Settings\Serg\Local Settings\Temporary Internet Files\Content.IE5\F2WJNLSX\xhcodec5140[1].exe'); DeleteFile('H:\Documents and Settings\Serg\Local Settings\Temporary Internet Files\Content.IE5\F2WJNLSX\xhcodec5140[2].exe'); DeleteFile('H:\WINDOWS\system32\qz.sys'); DeleteFile('H:\WINDOWS\system32\qz.dll'); DeleteFile('H:\WINDOWS\Temp\xhcodec5140.exe'); BC_ImportDeletedList; BC_DeleteSvc('grande48'); BC_DeleteSvc('ovwscn'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=22384).
Очистите временные файлы IE через "Свойства обозревателя".
Сделайте новые логи.
I am not young enough to know everything...
Спасибо за помощь стало лучше,но мне кажется что комп ещё не совсем адекватен. Карантин отправил,отпраляю логи.
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('H:\WINDOWS\780832.css',''); QuarantineFile('H:\WINDOWS\system32\qy.sys',''); DeleteFile('ovrscn.dll'); DeleteFile('H:\WINDOWS\system32\qy.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22384
Добавлено через 5 минут
UkrTeleGroup Ltd. - это Ваш провайдер?
85.255.116.99,85.255.112.66 - Вам эти адреса знакомы?
Если это всё не Ваше, тогда пофиксите ещё это
Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{1629801C-5198-4E3C-9222-739CD62C48C2}: NameServer = 85.255.116.99,85.255.112.66 O17 - HKLM\System\CCS\Services\Tcpip\..\{818FE948-CE0D-4A4A-B02E-647596ACFD7F}: NameServer = 85.255.116.99,85.255.112.66 O17 - HKLM\System\CCS\Services\Tcpip\..\{DF0D07DB-2CA2-4382-BF0B-F461DABB8D35}: NameServer = 85.255.116.99,85.255.112.66 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.66 O17 - HKLM\System\CS2\Services\Tcpip\..\{1629801C-5198-4E3C-9222-739CD62C48C2}: NameServer = 85.255.116.99,85.255.112.66 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.66 O17 - HKLM\System\CS3\Services\Tcpip\..\{1629801C-5198-4E3C-9222-739CD62C48C2}: NameServer = 85.255.116.99,85.255.112.66 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.66
Последний раз редактировалось wise-wistful; 05.05.2008 в 17:32. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- h:\\windows\\system32\\crypts.dll - Trojan-Downloader.Win32.Small.vea (DrWEB: Trojan.DownLoader.59716)
- h:\\windows\\system32\\ovwscn.sys - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.440)
- h:\\windows\\system32\\qy.sys - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.454)
- h:\\windows\\system32\\qz.dll - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.440)
- h:\\windows\\system32\\qz.sys - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.440)
- h:\\windows\\temp\\xhcodec5140.exe - Trojan.Win32.DNSChanger.bov (DrWEB: archive: Trojan.Starter.509)
- h:\\windows\\update.exe - Trojan-Dropper.Win32.Agent.qnz (DrWEB: Trojan.MulDrop.1504
Уважаемый(ая) SeGL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
